Azure多租户应用无法访问

Question

我尝试登录到Azure AD Web应用，当我与租户内部的用户一起登录时，可以， 但是登录其他用户时我得到

AADSTS50020：来自身份提供者“ live.com”的用户帐户“ *******”在租户“默认目录”中不存在，并且无法访问以下位置的应用程序“ a1eda862-65fb-4f90-8482-06151f5c7abc”那个房客首先需要将该帐户作为外部用户添加到租户中。注销并使用其他Azure Active Directory用户帐户再次登录。

登录网址：
https://login.microsoftonline.com/common/oauth2/authorize?client_id=a1eda862-65fb-4f90-8482-06151f5c7abc&response_type=id_token+code&redirect_uri=http://localhost:44302/&response_mode=form_post&scope=openid+profile&state=12345&nonce=7362CAEA-9CA5-4B43-9BA3-34D7C303EBA7&resource=https://management.azure.com/

Tenant settings

Answer 1

几件事要检查-

1. 基于您所共享的错误，似乎您已使用诸如live.com/hotmail等之类的Microsoft帐户登录。您是故意这样做还是刚好登录并对此感到困惑？如果确实要使用除普通组织帐户以外的Microsoft帐户登录，则如错误所示，您需要将该帐户作为外部用户添加到AzureAD租户中。

  

AADSTS50020：身份提供者“ live.com”中的用户帐户“ *******”在租户中不存在

1. 对于任何其他组织用户，即来自与该应用程序注册地不同的AzureAD租户的用户，您首先需要经过同意过程。您可能已经或尚未完成。 有关此过程的更多详细信息，请点击此处-https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-devhowto-multi-tenant-overview#understanding-user-and-admin-consent

Answer 2

问题：
您想在多租户应用程序中使用个人帐户来获取“ https://management.core.windows.net” API的令牌

范围：
一旦我们向您提供无法针对v1多租户应用程序使用个人帐户的原因，我们将着重解决此问题并将其视为已解决。 或者，如果我们确认问题是由第三方应用程序引起的或是设计使然的，我们将认为这种情况已解决。 这份议定的解决方案声明描述了我们结案的具体条件。如果您不同意此范围，请告诉我。

原因：
对于v1中的多租户应用程序，您只能使用组织帐户，而不能使用个人帐户。发生这种情况是因为对于个人用户，您将通过“实时”终结点而不是Azure终结点进行身份验证登录，还因为我们将用户发送到“公共”终结点，并且在那里我们不知道要在哪个目录中签名内。

解决方案：
Azure AD V2端点可以覆盖拥有多租户应用程序以及具有个人帐户和组织帐户的登录用户，但是v2目前存在一些限制，其中之一是您只能获得Microsoft Graph API的令牌而不是https://management.core.windows.net。我们计划在v2中也实现v1中所有可用的API，但目前不能用于获取此类API的令牌。